man loopt door een data service centrum
© Hollandse Hoogte

Zo waarborgt het CBS een beveiligde uitwisseling van gegevens

Bedrijven en personen die gegevens met het CBS uitwisselen, gebruiken hiervoor beveiligde kanalen. Denk hierbij aan SFTP- en FTPS-verbindingen of het upload- en downloadkanaal op https://antwoord.cbs.nl en vragenlijsten hierop. Voor de beveiliging van alle verbindingen ten behoeve van gegevensuitwisseling, heeft het CBS continu aandacht.

Wetgeving vormt de basismotivatie om onze kanalen goed te beveiligen. Voorbeelden van nationale en internationale wetgeving zijn de CBS-wet (hoofdstuk 5), Algemene Verordening Gegevensbescherming (AVG), Europese Statistische Verordening en Praktijkcode voor Europese Statistieken. Daarnaast zorgen wij voor een excellente beveiliging omdat bedrijven en personen ons gevoelige informatie toevertrouwen.

Beveiliging bij de bouw van IT-systemen en applicaties

Als leidraad voor de bouw van onze IT-systemen gebruiken we de Internet Authentication Service (IAS) van Microsoft Windows Server en de richtlijnen van het Center for Internet Security (CIS). Voor de bouw van applicaties gebruiken we als leidraad threat modeling van MITRE en de Open Web Application Security Project (OWASP).

Voordat we een applicatie daadwerkelijk in gebruik nemen, laten we deze pentesten door de onafhankelijke cyberbeveiligingsexpert Secura. Daarnaast voert Secura voortdurend verschillende pentesten uit zodat we de beveiliging kunnen blijven garanderen. Een voorbeeld hiervan zijn de jaarlijkse Grey-Box Application Assessments. Hiervoor krijgt Secura toegang tot de ontwerpinformatie van applicaties in de productieomgeving. Zo kan Secura kwetsbaarheden opsporen in de beveiligingsfuncties en rapporteren hoe goed de informatie is beveiligd.

Secura is door het Nederlands Centrum voor Criminaliteitspreventie en Veiligheid (CVV) gecertificeerd voor pentesten en voldoet aan ISO-normen. Meer informatie hierover vindt u op: Certificeringen en accreditaties Secura.

CBS en Secura gespecialiseerd in beveiliging

Voor ons Security Service Center werken een groot aantal deskundigen die gespecialiseerd zijn in informatiebeveiliging. Deze deskundigen voeren continu scans uit. Ook Secura test voortdurend met penetratietesten en kwetsbaarheidsonderzoeken de beveiliging van onze digitale kanalen. Secura test de beveiliging van het CBS volgens de OWASP Application Security Verification Standard (ASVS) en rapporteert de resultaten volgens het Common Vulnerability Scoring System (CVSS).

De resultaten van de scans, testen en onderzoeken worden geanalyseerd, gedeeld en gerapporteerd aan de betrokken teams en de Chief Information Security Officer (CISO) van het CBS. Het CBS staat geen kritische kwetsbaarheden toe en hanteert een zogenoemd zerotolerancebeleid op het gebied van informatiebeveiliging. Wanneer nodig adviseert de CISO het directieberaad en de plaatsvervangend directeur-generaal over te nemen maatregelen.

De resultaten van onze scans, penetratietesten en kwetsbaarheidsonderzoeken of samenvattingen daarvan, worden niet geopenbaard omdat deze gevoelige informatie bevatten.

CBS-deskundigen gespecialiseerd in privacy

Gespecialiseerd in de bescherming en waarborging van privacy zijn onze Functionaris Gegevensbescherming (AVG art. 37 e.v.), Chief Privacy Officer, privacy-juristen en privacy-coördinatoren. Op www.cbs.nl/privacy leest u meer over privacy en getroffen veiligheidsmaatregelen. Daar vindt u ook onze Privacy Impact Assessment (PIA)/Gegevensbeschermingseffectbeoordeling.

ISO- en privacycertificering

Op het gebied van kwaliteit, informatiebeveiliging en privacybescherming voldoet het CBS aan hoge eisen. Meer informatie of hoe wij gecertificeerd zijn leest u op de pagina: ISO- en Privacycertificering CBS.

Meer informatie

U kunt contact opnemen met het CBS Contact Center als u vragen heeft over dit onderwerp.

Lees meer over
- Informatiebeveiliging hoog op de agenda van het CBS
- ISO- en Privacycertificering
- Privacy
- Kwetsbaarheid melden
- Data uitwisselen met het CBS
- CBS-wet
- AVG
- Europese Statistische Verordening
- Praktijkcode voor Europese Statistieken